Подпись Device Guard
Подпись Device Guard — это функция Device Guard, доступная в Магазине Windows для бизнеса. Оно предоставляет администраторам единый ресурс для подписывания файлов каталога и политик целостности кода. После того как администраторы создали файлы каталога для неподписанных приложений и подписали файлы каталога, они могут добавить владельцев подписи в политику целостности кода. Вы можете объединить политику целостности кода с имеющейся политикой, чтобы включить настраиваемый сертификат подписи. Это позволяет сделать файлы каталога доверенными.
Device Guard — это набор компонентов для укрепления целостности аппаратного и программного обеспечения. Данные компоненты используют новые параметры безопасности на основе виртуализации и модель операционной системы мобильного устройства типа «никому не доверяй». Ключевая функция данной модели называется настраиваемой целостностью кода. Она позволяет организации выбирать, какое программное обеспечение или доверенные издатели программного обеспечения могут запускать код на ее клиентских компьютерах. Кроме того, Device Guard дает возможность организациям подписывать имеющиеся бизнес-приложения (LOB), чтобы их системы доверяли собственному коду без необходимости перепаковки приложения. Такой же метод подписывания позволяет организациям доверять отдельным приложениям сторонних разработчиков. Дополнительные сведения см. в руководстве по развертыванию Device Guard.
В этом разделе
| Тема | Описание |
|---|---|
Добавление неподписанного приложения в политику целостности кода |
Если вы хотите добавить неподписанное приложение в политику целостности кода, необходимо начать с политики целостности кода, созданной на эталонном устройстве. Затем создайте файлы каталога для неподписанного приложения, подпишите их и объедините политику по умолчанию, которая содержит ваш сертификат подписи, с имеющимися политиками целостности кода. |
Подпись политики целостности кода путем подписи Device Guard |
Подписание политик целостности кода препятствует незаконному изменению политик после их развертывания. Вы можете подписать политики целостности кода на портале подписи Device Guard. |
Ограничения файлов и их размера
При передаче файлов для подписывания в Device Guard существуют несколько ограничений для файлов и их размера.
| Описание | Ограничение |
| Максимальный размер политики или файла каталога | 3,5 MБ |
| Максимальный размер нескольких файлов (передаваемых в группе) | 4 MБ |
| Максимальное число файлов при отправке | 15 файлов |
Типы файлов
Типы файлов каталога и политики соответствуют требуемым.
| Файл | Необходимый тип файла |
| Файлы каталога | CAT |
| Файлы политики | BIN |
Роли и разрешения Магазина для бизнеса
Для подписывания политик целостности кода и входа на портал Device Guard требуется роль подписавшего Device Guard.
Сертификаты подписи Device Guard
Все сертификаты, созданные службой подписи Device Guard, уникальны для каждого клиента и не зависят от центров сертификации подписывания рабочего кода Майкрософт. Все ключи центров сертификации (CA) хранятся в криптографических границах аппаратных модулей безопасности, соответствующих стандарту FIPS 140-2. После создания ключи корневого сертификата и ключи CA верхнего уровня удаляются из веб-службы подписывания, шифруются и хранятся автономно.